МЕТА инфокрадец

META Infolstealer е нов, заплашителен щам, който набира популярност сред киберпрестъпниците. Заплахата от злонамерен софтуер е част от вълната от вредни творения, насочени към запълване на вакуума, останал след като операторите на Raccoon Stealer спряха дейността си. В резултат на това много хакери и хакерски организации започнаха да търсят следващата си платформа за атака и изглежда, че META Infostealer е успял да отговори на повечето от техните нужди. Досега достъпът до злонамерения софтуер може да бъде получен срещу месечен абонамент от $125 или еднократно плащане за цял живот от $1000.

Заплахата се рекламира като по-мощна и подобрена версия на RedLine . Може да получава чувствителна информация от заразени устройства, като идентификационни данни за вход и пароли, съхранявани в някои от най-популярните уеб браузъри, като Chrome, Firefox и Edge. В допълнение, нападателите могат да използват META Infostealer, за да компрометират портфейлите на криптовалутата на жертвата.

Веригата за атака

Експертът по сигурността и ръководител на ISC Брад Дънкан разкри активна кампания, предназначена за внедряване на META Infostealer. Заплахите използват изпитания и чрез заразяване вектор на разпространение на спам имейли с отровни прикачени файлове. Тези примамливи имейли могат да съдържат напълно измислени твърдения за преводи на средства или други привидно спешни събития, които се нуждаят от незабавно внимание от страна на потребителя. За да видят информация за предполагаемия проблем, жертвите са насочени да отворят прикачения файл, който е електронна таблица на Excel с макрос. За да изглежда по-легитимен, файлът носи лого на DocuSign и инструктира потребителите да „активират съдържание“, необходима стъпка за изпълнението на повреден макрос на VBS.

Когато скриптът бъде иницииран, той ще извлече и достави на устройството на потребителя няколко полезни натоварвания, състоящи се от множество DLL и изпълними файлове. Файловете се извличат от различни уебсайтове, като GitHub. За да не бъдат открити от приложенията за сигурност, изпуснатите файлове може да бъдат кодирани base64 или техните байтове да бъдат обърнати. Окончателният полезен товар ще бъде създаден на устройството като файл с име 'qwveqwveqw.exe.' Избраното име вероятно ще бъде генерирано на случаен принцип. Ще бъде инжектиран нов ключ на системния регистър и ще действа като механизъм за постоянство. Като част от своите действия заплахата също ще използва команди на PowerShell, за да принуди Windows Defender да спре сканирането на .exe файловете в системата. Ясен знак за наличието на META Infostealer е непрекъснатият трафик между неговия полезен .exe файл и сървъра за управление и управление на операциите.